云主机安全加固最佳实践指导书

1. 账户密码设置及使用建议

• 密码应该长度很多于 10 位；
• 建议不要使用有必定特征和规律容易被破解的经常使用口令的密码（如：在经常使用彩虹表中的密码、滚键盘密码。如：!QAZxsw2，qazxsw，

      1qaz@WSX，1q2w3e，123456789，password 等），且密码复杂度至少包含大写字母、小写字符、数字、特殊字符四类中的三种；

• 密码尽可能不要包含帐户如：adminstrator/administrator，test/test，root/root，oracle/oracle，mysql/mysql；
• 建议至少每 90 天更改一次密码，若帐户已经处于失效状态， 则不要求修改；
• 建议不要重复使用最近 5 次（含 5 次）内已使用的密码；
• 建议根据不一样应用设置不一样的账号密码，不建议多个应用使用同一套帐户/密码；
• 账号管理人员初次发放或者初始化密码给用户时，若是知道密码内容，建议强制用户首次使用修改密码，不能强制用户修改密码的则为密码设置过时期限（用户必须及时更改密码，不然密码应被强制失效）；
• 建议为全部帐户配置设置连续认证失败次数超过 5 次（不含 5次），锁定帐号策略和 30 分钟自动解除锁定策略；
• 建议对全部帐户设置不活动时间超过 10 分钟自动退出或锁定策略；
• 新建系统中的账号缺省密码在首次使用前，建议强制用户更改；
• 建议开启帐户登陆记录日志功能，登陆日志最少保存 180 天， 登陆日志中不能保存用户的密码。
• 不使用我的的微博、QQ、论坛等口令 （各类数据泄露）
• 不建议以明文形式经过 Internet、无线设备传送密码，全部帐号密码认证体系在技术支持条件下，建议使用加密协议安全登陆（如SSH）；
• 尽可能使用密钥方式进行操做系统身份认证。

2. 操做系统安全加固

2.1. Linux 操做系统

2.1.1. 账号口令设置

建议项：应按照不一样的用户分配不一样的帐号和权限，禁用或删除其它没必要要的帐户；

检查是否存在空口令和 root 权限的帐号；

建议项：对于采用口令认证的设备，口令长度建议很多于 10 位，并包括数字、

小写字母、大写字母和特殊符号 4 类中至少 3 类；

建议项：对于采用口令认证的设备，账户口令的生存期建议不长于 90 天；

建议项：限制超级管理员用户远程登陆；设置普通用户远程登陆失败尝试次数；

建议项：修改默认的 SSH 服务端口；

建议项：建议设置能够 su 为 root 的帐户为制定的用户组，其它帐户不能 su 切

换至 root

建议项：配置系统历史命令操做记录和定时账户自动登出时间；

2.1.2. 服务

建议项：关闭没必要要的服务（普通服务和xinetd服务）；

常见没必要要服务：bootps，pure-ftpd，pppoe，sendmail，isdn，

zebra，cupsd，cups-config-daemon，hplip，hpiod，hpssd，bluetooth，hcid，

hidd，sdpd，dund，pand，rsh

2.1.3. 日志

建议项：启用 syslog 系统日志审计功能

建议项：系统日志文件由 root 创立而且其它用户不可读取（日志文件权限不高

于 600）；

2.1.4 文件服务配置

建议项：安装最新的 vsftp 服务器

建议项： vsftp 不能匿名登陆

建议项：禁止显示 vsftp banner 信息

建议项：开启 FTP 的日志记录功能

建议项：FTP 的最大链接数和传输速度必须限制

2.2. Windows 操做系统

2.2.1. 账号口令设置

要求内容：重命名 Administrator，禁用 guest（来宾）账号和其它没必要要的帐

户；

要求内容：应按照不一样的用户分配不一样的帐号，避免不一样用户间共享帐号。避

免用户帐号和设备间通讯使用的帐号共享

要求内容：不显示最后的用户名

要求内容：密码长度最少 10 位，不能使用有键盘规律的密码（键盘规律密码：

qazxsw,1qaz@WSX,1q2w3e 等），且密码复杂度至少包含如下四种类别的字符中的三种：

英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 阿拉伯数字 0, 1, 2, … 9

非字母数字字符，如标点符号，@, #, $, %, &, *等；

要求内容：对于采用口令登陆的主机，口令的生存期不长于 90 天；

要求内容：对于采用静态口令登陆的主机，应配置主机不能重复使用最近 5 次

（含 5 次）内已使用的口令；

要求内容： 在本地安全设置中取得文件或其它对象的全部权仅指派给

Administrators 组

要求内容：设备应启用日志记录功能，对用户登陆进行记录，记录内容包括用户登陆使用的帐号，登陆是否成功，登陆时间，以及远程登陆时用户使用的 IP地址；

要求内容：开启审核策略，以便出现安全问题后进行追查；

要求内容：设置日志容量和覆盖规则，保证日志能正常存储；

要求内容：

禁用 TCP/IP 上的 NetBIOS 协议，能够关闭监听的 UDP 137（netbios-ns）、UDP

138（netbios-dgm）以及 TCP 139（netbios-ssn）端口。

要求内容：对主机的通讯信道进行数字签名；

要求内容：关闭没必要要的系统服务；

要求内容：

非域环境中，关闭 Windows 硬盘默认共享，例如 C$，D$；

每一个共享文件夹的共享权限，只容许受权账户拥有权限共享此文件夹。

要求内容：

Windows 系统须要安装防病毒软件。

要求内容：

设置带密码的屏幕保护，并将时间设定为 5 分钟。

要求内容：开启主机防火墙，根据须要设置须要开放的端口；

要求内容：修改 Windows 远程桌面默认端口（3389），防止暴力破解等攻击；

要求内容：安装最新的 Hotfix 补丁；